Интеграция Управляемого устройства HSM Azure с Политика Azure

  • Статья

Политика Azure — это средство управления, которое дает пользователям возможность выполнять аудит и управлять средой Azure в нужном масштабе. Политика Azure позволяет размещать на ресурсах Azure ограничения, чтобы убедиться, что они соответствуют правилам назначенной политики. Она позволяет пользователям выполнять аудит, принудительное применение в режиме реального времени и исправление среды Azure. Результаты аудита, выполненных политикой, будут доступны пользователям на панели мониторинга соответствия требованиям, где они смогут просмотреть детализированную проверку того, какие ресурсы и компоненты соответствуют требованиям, а какие — нет. Дополнительные сведения см. в статье Обзор службы "Политика Azure"

Примеры сценариев использования:

  • В настоящее время у вас нет решения для проведения аудита в вашей организации, разве что можете выполнить аудит вручную, задавая индивидуальным командам в организации отчет о соответствии. Вы ищете способ автоматизировать эту задачу, выполнять аудиты в режиме реального времени и гарантировать точность аудита.
  • Вы хотите применить политики безопасности компании и запретить пользователям создавать определенные криптографические ключи, но у вас нет автоматического способа блокировки их создания.
  • Вы хотите смягчить некоторые требования к командам, проводящим тестирования, но при этом хотите сохранить жесткий контроль над своей производственной средой. Вам необходим простой автоматизированный способ разделения ограничений на ресурсы.
  • Вы хотите убедиться, что можете откатить применение новых политик, если есть проблема с динамическим сайтом. Вам нужно решение для отключения принудительного применения политики одним щелчком.
  • Вы полагаетесь на стороннее решение для аудита среды и хотите использовать внутреннее предложение Майкрософт.

Типы действий и руководств политики

Аудит: Если для политики задано значение "аудит", то политика не приведет к критическим изменениям в среде. Он будет оповещать вас только о таких компонентах, как ключи, которые не соответствуют определениям политики в указанной область, помечая эти компоненты как несоответствующие на панели мониторинга соответствия политике. Если влияния политики не выбрано, аудит выполняется по умолчанию.

Запретить. Если для действия политики задано значение запрета, политика блокирует создание новых компонентов, таких как более слабые ключи, и блокирует новые версии существующих ключей, которые не соответствуют определению политики. Существующие несоответствующие ресурсы в управляемом устройстве HSM не затрагиваются. Возможности "аудит" будут продолжать функционировать.

У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых

Если вы используете шифрование на основе эллиптических кривых или ключи ECC, вы можете настроить список разрешенных имен эллиптических кривых из списка ниже. Параметр по умолчанию позволяет выполнять все указанные ниже имена кривых.

  • P-256
  • P-256K
  • P-384
  • P-521

Для ключей должны быть заданы даты истечения срока действия

Эта политика выполняет аудит всех ключей в управляемых модулях HSM и помечает ключи, для которых не задана дата окончания срока действия, как несоответствующие. Эта политика также позволяет блокировать создание ключей, для которых не задана дата окончания срока действия.

Ключи должны иметь больше указанного числа дней до истечения срока действия

Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. Эта политика выполняет аудит ключей слишком близко к дате окончания срока действия и позволяет задать это пороговое значение в днях. Вы также можете использовать эту политику, чтобы предотвратить создание новых ключей, слишком близких к дате окончания срока действия.

Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа

Использование ключей RSA с малым размером считается небезопасной практикой при проектировании систем. Возможно, для вас действуют стандарты аудита и сертификации, определяющие минимально допустимый размер используемых ключей. Следующая политика позволяет задать минимальный размер ключа для управляемого устройства HSM. Вы можете выполнять аудит ключей, которые не соответствуют этим минимальным требованиям. Эта политика также позволяет блокировать создание новых ключей, которые не соответствуют требованиям к минимальному размеру ключа.

Включение политики управляемого устройства HSM и управление ею с помощью Azure CLI

Предоставление разрешения на ежедневное сканирование

Чтобы проверка соответствие ключей инвентаризации пула, клиент должен назначить роль "Аудитор шифрования управляемого устройства HSM" службе управления ключами управляемого устройства HSM Azure Key Vault(идентификатор приложения: a1b76039-a76c-499f-a2dd-846b4cc32627), чтобы получить доступ к метаданным ключа. Без предоставления разрешения ключи инвентаризации не будут сообщаться в отчете о соответствии Политика Azure, только новые ключи, обновленные ключи, импортированные ключи и сменные ключи будут проверяться на соответствие. Для этого пользователю с ролью "Администратор управляемого устройства HSM" в управляемом модулю HSM необходимо выполнить следующие команды Azure CLI:

В окнах:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

id Скопируйте распечатанный файл и вставьте его в следующую команду:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

В Linux или подсистеме Windows Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Создание назначений политик — определение правил аудита и (или) запрета

Назначения политик имеют конкретные значения, определенные для параметров определений политик. В портал Azure перейдите к разделу "Политика", отфильтруйте по категории "Key Vault" и найдите эти четыре определения предварительной версии ключевых политик управления. Выберите один из них, а затем нажмите кнопку "Назначить" в верхней части. Заполните каждое поле. Если назначение политики предназначено для отказа в запросе, используйте четкое имя политики, так как при отклонении запроса имя назначения политики будет отображаться в ошибке. Нажмите кнопку Далее, снимите флажок "Показывать только параметры, которые требуют ввода или проверки" и введите значения для параметров определения политики. Пропустите "Исправление" и создайте назначение. Службе потребуется до 30 минут, чтобы применить запретные назначения.

  • Срок действия ключей управляемого устройства HSM Azure Key Vault должен иметь срок действия
  • Ключи управляемого модуля HSM Azure Key Vault с использованием шифрования RSA должны иметь указанный минимальный размер ключа
  • Количество дней до истечения срока действия ключей управляемого устройства HSM Azure Key Vault должно превышать указанное число дней.
  • Ключи управляемого модуля HSM Azure Key Vault, использующие шифрование на основе эллиптических кривых, должны иметь указанные имена кривых

Эту операцию также можно выполнить с помощью Azure CLI. См . статью Создание назначения политики для идентификации ресурсов, не соответствующих требованиям, с помощью Azure CLI.

Проверьте установку

Попробуйте обновить или создать ключ, который нарушает правило. Если у вас есть назначение политики с эффектом "Запретить", он вернет 403 в ваш запрос. Просмотрите результаты проверки ключей инвентаризации назначений политик аудита. Через 12 часов проверка меню "Соответствие политике", отфильтруйте категорию "Key Vault" и найдите свои назначения. Выберите каждый из них, чтобы проверка отчет о результатах соответствия.

Устранение неполадок

Если результаты работы пула по истечении одного дня отсутствуют. Проверьте, успешно ли было выполнено назначение роли на шаге 2. Без шага 2 служба управления ключами не сможет получить доступ к метаданным ключа. Команда Azure CLI az keyvault role assignment list может проверить, назначена ли роль.

Next Steps